Умные города — блестящая концепция, суть которых сводится к тому, что различные автоматы помогают людям в их повседневной городской жизни. Её предсказали задолго до появления компьютеров, описания в научно-фантастической литературе представлены по всему диапазону от утопий до мрачнейших киберпанковских антиутопий, в зависимости от замысла автора. Теперь она уже на грани превращения в повседневную реальность. Вопрос, тем не менее, остался: это будет утопия или антиутопия?
Поможет ли это решить эти бесчисленные проблемы современного урбанизма, или, наоборот, мы станем привыкать к внезапным, переходящим в тенденцию вспышкам кибербеспредела? Оба варианта сейчас возможны.
С опережением предосторожности
Внедрение технологий обгоняет предусмотрительность, и в оценке рисков нет ничего нового. Прибыль и мода стоят на первом месте, за ними идут «непредвиденные последствия», которые были на самом деле вполне предсказуемыми, по какой-либо причине игнорировались.
Вот довольно типичный для киберпанка сюжет: некая технологическая компания оказывается в нужном месте и в нужное время и задаёт определенную тенденцию, выпустив продукт, который вскоре становится повсеместным. У него есть свои проблемы (конкретно, некачественная безопасность), но вместо того, чтобы исправить недочёты, компания задействует ставшие мощными маркетинговые возможности, чтобы заткнуть и/или дискредитировать своих критиков и конкурентов. В то же время, внимание пользователей переключают с очевидных проблем на полезность и удобства, а также «аспекты лайфстайла», «статусность» и т.д. Вдобавок, есть ещё мантра «Ошибаются все» в качестве окончательного (и неопровержимого) аргумента.
#умныйгород: будущая утопия или неизбежная антиутопия? #безопасность
Tweet
Что-то смутно напоминает, не так ли? В самом деле, мы были свидетелями подобных историй в недавнем прошлом, когда отдельные программные пакеты становились чрезвычайно популярными вместе со своими недостатками. Червь Slammer не о чём не говорит?
Однако с «умными городами» история несколько иная. В конце концов, тут даже жизни на кону, а не только комфорт и эффективное функционирование коммунальных служб. Города являются критически важными инфраструктурами (во всех возможных смыслах), и, если их компьютеризация проводится без учёта безопасности изначально, проблемы могут возникнуть кошмарные и достичь куда более драматичного размаха, чем знакомые нам часто обсуждаемые вопросы кибербезопасности критической инфраструктуры сегодня. Эту задачу надо решать на ранней стадии.
Вызовы
Каковы основные проблемы информационных системам «умных городов» с точки зрения кибербезопасности? Четыре приходят на ум сразу:
- Большое количество технологий и практических решений, которые должны взаимодействовать и связываться друг с другом.
- Возможное неровное качество различных встроенных технологий.
- Дистанционная и непосредственная эксплуатируемость информационных систем Smart City.
- Огромные объемы данных для анализа и хранения.
Легко понять, что знакомые вопросы кибербезопасности переплетаются с каждой из них. На самом поверхностном уровне совместимость и взаимосвязь между различными системами означает, что хакеры могут попытаться использовать слабые места в одной системе, чтобы захватить контроль над другой, более важной, например, эксплуатировать бортовую сеть Wi-Fi в современном пассажирском самолете, чтобы получить доступ к авионике лайнера. А теперь экстраполируйте это в масштабе города. Если сети не изолировать надёжно друг от друга, такое возможно.
А есть ещё «неровное качество»: скорее всего, там будет каша из технологий, принадлежащих к разным поколениям.
Нам уже доводилось видеть, на что это похоже. По сути, источник проблем с промышленными/коммунальными критическими системами кроется в том, что они зачастую какие угодно, но только не современные. При этом они дооснащаются подключением, что вообще не предусматривалось во время разработки и постройки этих систем. Мы об этом уже писали.
Возможность взлома систем умных городов, кстати, хорошо иллюстрирует недавнее исследование систем видеонаблюдения в одном городе, опубликованное на Securelist. Городская сеть видеонаблюдения, как оказалось, имеет ряд слабых мест — от неаккуратной настройки и незащищенной маркировки аппаратных средств до передачи данных в незашифрованном виде и пр.
Исследование, безусловно, достойно внимания, так как содержит ряд важных выводов о том, как самые неожиданные вещи могут подорвать безопасность.
А ещё есть Большие данные и связанные с ними проблемы безопасности, которые надо решить.
И все эти проблемы наряду со многими другими следует рассматривать заблаговременно, до «поумнения» каждого города.
Побочная тема: дело о самолёте
…Что я там говорил о взломе самолета? Так вот, по словам Андрея Никишина, главы отдела проектов технологий будущего «Лаборатории Касперского», данные авионики обычно передаются по изолированной шине, не подключённой к Wi-Fi и/или бортовой развлекательной сети.
Тем не менее, Федеральное авиационное управление США (FAA), по сообщениям, предупредило Boeing семь лет назад о недостатке в конструкции Wi-Fi лайнеров Boeing 787 Dreamliner, а также Airbus A350 и A380, который делал их уязвимыми для хакеров. В апреле этого года FAA сообщило, что Dreamliner до сих пор ещё можно взломать.
А некий консультант по кибербезопасности по имени Крис Робертс хвастался на весь Twitter, что сумел взломать систему управления реактивным выхлопом. Робертс допрыгался до знакомства с ФБР, несмотря на отсутствие какого-либо фактически нанесенного вреда. Если верить записям судебных заседаний, он признался агентам ФБР в том, что действительно взламывал компьютерные системы авиалайнеров не менее 20 раз и смог перехватить контроль над двигателем самолёта во время полёта.
Если Робертс не врал, в системах самолётов действительно присутствует огромная брешь. Если критические и некритические сети на самом деле разделены только брандмауэром (а брандмауэры можно взломать, понимаете?), все эти лайнеры, мягко говоря, небезопасны.
Вообразите себе нечто подобное на уровне целого города. Или посмотрите «Live Free or Die Hard» (он же «Крепкий орешек 4.0«), поскольку этот фильм действительно даёт верное представление о возможных последствиях, за исключением того факта, что одному герою ни за что не справиться с устранением возникшего беспорядка.
Предусмотреть неприятности
«Модернизация и дополненная кибербезопасность» – вообще не вариант для концепции Smart Cities. Риски слишком велики, чтобы возводить «семь городов Кибертрои» один на другом. Наша позиция состоит в том, что кибербезопасность должна рассматриваться с самой ранней стадии на всех возможных уровнях.
#кибербезопасность с нуля – единственный вариант для концепции #умныйгород.
Tweet
Вот почему ряд ведущих компаний в сфере ИТ-безопасности компании, в том числе, конечно, «Лаборатория Касперского», присоединяются к некоммерческой глобальной инициативе за безопасность умных городов, запущенной в конце мая.
Инициатива направлена на решение проблем кибербезопасности, с которыми сталкиваются «умные города», посредством сотрудничества и обмена информацией. Группа будет служить связующим узлом для субъектов бизнеса, органов власти, средств массовой информации, некоммерческих организаций и частных лиц по всему миру, участвующих в создании, улучшении и продвижении интеллектуальных и безопасных технологий для современных городов. Инициатива также нацелена на решение киберпроблем на каждом этапе развития Smart City: от планирования до фактической реализации интеллектуальных технологий.
Появления «умных городов» не избежать, поэтому проблемы надо решать. Но количество вопросов резко сократилось бы при правильном подходе к «безопасности с нуля». Вот для чего и нужна эта новая инициатива.
Подробнее читайте на официальном сайте инициативы.